Antivirus: La detección de scripts que utilizan la Powershell es muy baja
Fundamentales para mantener protegidos a los usuarios de la mayoría de los peligros que existen en Internet. Los antivirus son un software muy importante. Sin embargo, para que presente la mayor eficacia hay que mantenerlo actualizado, o al menos eso recomiendan. Un estudio ha desvelado que una parte importante de las herramientas de seguridad existentes no son capaces de proteger de forma adecuada a los usuarios.
Un ejemplo claro ha sido Wannacry, pero en este artículo no queremos hablar de esta amenaza. Queremos hablar de los scripts que se ejecutan utilizando la Powershell de los sistemas operativos Windows. Para ser más precisos, de todo el listado que se ha utilizado para realizar el análisis, solo la solución de Sophos y Avast han sido capaces de bloquear de forma adecuada un script ofuscado que se ejecutaba utilizando este software de los sistemas operativos de los de Redmond. Para ser más exactos, el listado completo de herramientas que han intervenido es el siguiente:
- AVG/Avast
- Avira
- Bitdefender
- Microsoft Defender
- ESET
- F-Secure
- GData
- Hitmanpro.Alert Beta*
- Kaspersky Lab (KIS 2017)
- McAfee
- Norton
- Trend Micro
¿Qué es lo que está fallando? Ni siquiera mantener actualizada tu herramienta te permite disfrutar de una seguridad plena. En la actualidad, el usuario tiene que poner mucho de su parte para evitar que su equipo se infecte y que los antivirus funcionen de mucha correcta, aunque esto no es una garantía. Todo parece indicar que los antivirus van un paso por detrás de las amenazas de seguridad, siendo un claro ejemplo lo que sucede con los scripts que utilizan la Powershell de Windows.
Las tres pruebas de la Powershell a las que se han sometido a las herramientas de seguridad
Para comprobar cuál es el funcionamiento de las herramientas de seguridad, los expertos han confeccionado un script que se ha ejecutado utilizando tres ámbitos. El primero de ellos realizaba la ejecución desde una ubicación del disco duro. La segunda realizaba la ejecución del script pero valiéndose de una ubicación que se encontraba en memoria. Por último, no solo se recurría a la utilización de una posición de memoria, sino que se ofuscaba el código.
A medida que la complejidad aumentaba disminuía el listado de antivirus que eran capaces de detectar el script Powershell que se encargaba de robar las contraseñas. En el último de los escenarios la cifra es muy poco esperanzadora. Solo los dos que hemos mencionado con anterioridad y la última versión de Kaspersky Internet Security son capaces de detectar su ejecución y realizar el bloqueo de forma satisfactoria.
Un punto más a mejorar
Durante el último año hemos visto en muchas ocasiones que las amenazas se han movido muy por delante de las herramientas de seguridad. La actualización y anticipación continúan siendo un aspecto a mejorar, añadiendo ahora la detección de scripts que se ejecutan a través de la Powershell de los sistemas operativos de la compañía estadounidense, pudiendo presentar unos resultados fatales para la privacidad de los usuarios de Windows.
¿Crees que la industria de los antivirus se encuentra en declive?
Via: www.redeszone.net